2007-08-14

德國新法案讓安全專家深陷迷霧

German Security Professionals in the Mist
http://www.beskerming.com/commentary/2007/08/12/249/German_Security_Professionals_in_the_Mist

12 Aug. 2007

德國資訊安全專家抱持希望,在提議被改成 UK Computer Misuse Act(英國電腦濫用法案)後,Police and Justice Act(警察與司法法案)能夠暫緩修正。這是因為一個事實,如果某些條款被制定頒佈,(http://p10.hostingprod.com/@spyblog.org.uk/blog/2006/10/police_and_justice_bill_dual_u.html)它將有效地讓整個英國的資訊安全產業變成罪犯。

這個希望相當重要,因為在今年初,德國政府引入相似的語言風格到電腦犯罪法的 Section 202c StGB,光是持有(創造、取得、或提供存取 [如下載]、販賣、出產、散佈或其它方式使他人能夠允許存取)那些工具,如 John, Kismet, KisMAC, Nessus, nmap 以及利用 Google 使其更有效力(http://www.google.com/search?q=1337+Hacking),都將成為罪犯。儘管盡力看透這層「關於改變是否會被納入被提議法案」的迷霧,今日它還是成為進展中的立法。

該法案之下的懲罰包括 12 個月以上的牢獄之災、罰款、還可能與恐怖主義相關活動產生潛在關連(至少按照該法 202a 與 202b 款)。

儘管某些觀察者害怕在不久的將來會出現(資安版的)「水晶之夜(Kristallnacht,指 1938 年德國猶太教堂被摧毀,猶太人被關進集中營的那一晚,因滿地碎玻璃而有此謔稱)」,而且將有濫用法律的可能(例如美國的 DMCA),對於德國資訊安全工作與研究的整體影響,再也沒有比這個更大。

這不表示改變尚未發生。已經有為數不少與安全相關的產品與團體,不是關閉商店,就是遷居到自在方便的國家,例如荷蘭。

KisMAC(http://www.kismac.de/),一種 OS X 無線網路發掘工具,已經終止開發,並將重新在荷蘭出沒。這是第一種以公開方式突然終止生產的工具。

Phenoelit(http://www.phenoelit.de/202/202.html)也關閉德國站,雖然有可能在其他地點找到(http://www.phenoelit-us.org/)它們的線上內容。

那些懂德文的人,可以看看來自於 CCC(http://www.ccc.de/)的回應,它們目前正在柏林附近舉辦 Chaos Communications Camp 2007(http://events.ccc.de/camp/2007/Intro/,想想看 DefCon,不過是在有帳篷的野地中)。CCC 已經決定,一但德國政府採取這種措施,就表示將不在有更多安全問題面對電腦使用者(譯註:就是放給它爛的意思)。

Stefan Esser,著名的 PHP Security 行動主義者,已撤回(http://blog.php-security.org/archives/91-MOPB-Exploits-taken-down.html)所有原本附屬在 Month of PHP Bugs(http://www.php-security.org/)計畫上的 exploit code。一如 Stefan 所指出:

"該法案並不影響我們要報告與通知安全弱點與如何利用它們的言論自由。
我們只是不被允許創造/散佈/使用可能會被用來當作「hacking tools」的軟體。"

猶如許多其他的立法機構,企圖要來處理現實或感知的、基於電腦活動的問題,這個法案無法對
現實負責。其他人已指出,只有那些從事非法活動的人,才是使用「hacking tools」(譯註:想想看,水果刀在犯案之後才會成為「兇器」)。合法的安全產業是用(這些工具)來進行「診斷」與其他有益效用。看起來這項法案有讓合法研究變得更加困難的非預期後果,只會威嚇合法研究者,並且讓攻擊者更投機取巧。

嚴重犯罪將會繼續發生,伴隨著他們的惡意活動,或許還會更加放肆 -- 在知識中獲得安全,德國政府只是讓它們有點更難被發現。

※ 相關報導:

FBI 遠端安裝間諜軟體辦案?
「流氓」DNS 的數量持續攀升
『隱私國際』公佈 2007 年報告

2 則留言:

fsj 提到...

德擬擴大電腦監視權 引爭議

【聯合報╱編譯陳世欽/報導】 2007.10.31

德國西北部去年發生在列車車廂發現手提箱炸彈,所幸因為技術不良未能引爆的事件。官員事後在暴徒的手提電腦查獲詳細的作案計畫與相關地圖。如果執法人員事前能夠秘密檢查電腦的內容,此類危機當可避免。

洛杉磯時報卅日報導,德國執法人員根據本案指出,當局必須擴大他們監視個人電腦的權限。九一一後加強的監聽法使許多西歐國家得以監聽電話與檢查電子郵件、伊斯蘭激進分子的網路聊天室及恐怖嫌犯經常瀏覽的網站。

德國執法人員已要求當局允許他們在嫌犯電腦植入木馬病毒程式,掃描檔案、照片、圖表、錄音,並記錄使用者每次鍵入的鍵盤位置,甚至使用網路攝影機與麥克風,俾在暴徒發動攻擊前,洞察機先並先發制人。德國內政部反恐局局長辛德勒表示:「本案顯示,暴徒經常使用手提電腦。如果我們能夠透過網路搜尋揪出他們,一定大有裨益。」

這項構想極可能使德國的個人隱私及公眾安全發生牴觸。許多德國人認為,一九七○年代的嚴格保密及反恐景象可能捲土重來,隨處可見的電腦硬碟可能淪為當局無孔不入的利器。柏林「人道主義聯盟」主席勞德斯表示:「一九八○年代,人們普遍抗拒各種統計,因為他們擔心,當局可能利用這些數據追查民眾的賦稅及其他資料。現在,人們擔心政府可能窺伺他們的電腦。」

fsj 提到...

網路犯罪沒人管 劉揆飆重話

【聯合報╱記者李順德/台北報導】 2008.08.13

行政院長劉兆玄昨天主持任內首次的治安會報,在會報中說了重話,他表示機關分化越多,很多事情就變成沒人管,如公平會是管物價囤積居奇,但公平會卻兩度撇清不是他們管。NCC也說網路罪不是他們管,「那總要有人管」。

劉兆玄談到網路犯罪越說越有氣,他說,過去網路犯罪電信總局可以管,但改成NCC後,NCC又說,依法令職掌並不管網路犯罪。NCC主委彭芸辯駁,但未獲劉兆玄認同,劉兆玄指示政務委員張進福協調,把主管機關定出來。

依刑事局報告,九十五年的網路犯罪發生數為二萬二千七百件,九十六年則達二萬九千二百件,較同期增加近七千件。

刑事局表示,國內網路詐欺案件的發生場所,以雅虎奇摩拍賣網站最為嚴重,其次為「其他」場所,如露天拍賣網站,發生數有七百多件,MSN網站發生數也有五百多件。

※ 設一個網路警政署還是網路調查局(NBI)?